Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
Bu makale, bir geliştirici olarak uygulama geliştirme yaşam döngünüze yönelik kimlik ve erişim yönetimi en iyi yöntemlerini anlamanıza yardımcı olur. Kimlik ve erişim yönetimi (IAM) ile güvenli, Sıfır Güven uyumlu uygulamalar geliştirmeye başlarsınız.
Sıfır Güven güvenlik çerçevesi açık doğrulama, en az ayrıcalıklı erişim ve ihlal varsayma ilkelerini kullanır. Ağ çevresi dışından uygulamalara erişim gibi yaygın senaryolara izin verirken kullanıcıların ve verilerin güvenliğini sağlayın. Güvenlik saldırılarına karşı savunmasız hale gelebilen güvenli bir ağ çevresi arkasındaki etkileşimlere örtük güvene olan güveni azaltın.
Sektör güvenliği eğilimleri uygulama gereksinimlerini etkiler
Sıfır Güven uygulaması gelişmeye devam etse de, her kuruluşun yolculuğu benzersizdir. Genellikle kullanıcı ve uygulama kimliğiyle başlar. Birçok kuruluşun Sıfır Güven'i piyasaya çıkarırken önceliklerini belirlemesi gereken ilkeler ve denetimler şunlardır:
- Uygulamalar ve hizmetler için kimlik bilgisi hijyeni ve döndürme ilkeleri uygulayın. Kötü aktörler sertifikalar veya parolalar gibi gizli dizileri tehlikeye attığında, bir uygulama kimliğinin kisvesi altında belirteçleri almak için sistem erişiminin derinliğini elde edebilir. Daha sonra hassas verilere erişip, yatay hareket eder ve kalıcılık sağlar.
- Güçlü kimlik doğrulamayı kullanıma sunma. BT yöneticileri, çok faktörlü kimlik doğrulaması ve parolasız FIDO2 cihazları gerektiren ilkeler yapılandırıyor.
- Doğrulanmış yayımcı uygulamaları için düşük riskli izinlere sahip uygulamalar için kullanıcı onaylarını kısıtlayın. Microsoft Graph gibi API'lerdeki verilere erişim, zengin uygulamalar oluşturmanıza olanak tanır. Kuruluşlar ve müşteriler, onay vermeden önce uygulamanızın izin isteklerini ve güvenilirliğini değerlendirir. BT yöneticileri, yayımcı doğrulaması gerektirerek açıkça doğrulama ilkesini benimsemektedir. Yalnızca düşük riskli izinler için kullanıcı onayına izin vererek en az ayrıcalık ilkesini uygularlar.
- Eski protokolleri ve API'leri engelleyin. BT yöneticileri "Temel kimlik doğrulaması" gibi eski kimlik doğrulama protokollerini engelliyor ve OpenID Connect ve OAuth2 gibi modern protokoller gerektirir.
Güvenilir, standartlara dayalı kimlik doğrulama kitaplıklarını kullanma
Uygulama taşınabilirliğini ve güvenliğini artırmak için uygulamanızı bilinen ve kabul edilen standartlar ve kitaplıklarla geliştirin. Güvenilir, standartlara dayalı kimlik doğrulama kütüphaneleri, uygulamalarınızın en son teknolojilere ve tehditlere karşı duyarlı kalabilmesi için güncel tutulur. Standartlara dayalı geliştirme metodolojileri , desteklenen standartlara ve bunların avantajlarına genel bir bakış sağlar.
Bilinen güvenlik açıklarına ve kapsamlı belgelere sahip protokolleri kullanmak yerine, uygulamanızı Microsoft Kimlik Doğrulama Kitaplığı (MSAL), Microsoft Identity Web kimlik doğrulama kitaplığı ve Azure Yazılım Geliştirici Setleri (SDK) gibi kitaplıklarla geliştirin. MSAL ve Yazılım Geliştirici Setleri (SDK), ek kod yazmanıza gerek kalmadan bu özellikleri kullanmanıza olanak sağlar:
- Koşullu erişim
- Cihaz kaydı ve yönetimi
- Parolasız ve FIDO2 kimlik doğrulaması
MSAL ve Microsoft Graph , Microsoft Entra uygulamaları geliştirmek için en iyi seçeneklerinizdir. MSAL geliştiricileri protokollerle uyumluluğu güvence altına alır. Microsoft, doğrudan Microsoft Entra Id ile çalışırken MSAL'yi verimlilik için en iyi duruma getirmektedir.
Uygulamalarınızı Microsoft Entra ID'ye kaydetme
Microsoft Entra Id'de uygulama özellikleri için en iyi güvenlik yöntemlerini izleyin. Microsoft Entra ID'de uygulama kaydı kritik öneme sahiptir çünkü uygulama güvenliğinizdeki yanlış yapılandırma veya ihmal, kapalı kalma süresine veya güvenlik ihlaline yol açabilir.
Güvenliği geliştiren uygulama özellikleri arasında yeniden yönlendirme URI'si, erişim belirteçleri (hiçbir zaman örtük akışlarla kullanmayın), sertifikalar ve gizli diziler, uygulama kimliği URI'si ve uygulama sahipliği bulunur. Kod için Güvenlik Tehdit Modeli değerlendirmelerine benzer düzenli aralıklarla güvenlik ve sistem durumu değerlendirmeleri gerçekleştirin.
Kimlik ve erişim yönetimini devretme
Müşterilerinizin tanımlayıp yönettiği açık kimlik doğrulaması ve erişim denetimi için belirteçleri kullanmak üzere uygulamanızı geliştirin. Microsoft, kendi kullanıcı adı ve parola yönetim sistemlerinizi geliştirmenizi önermemektedir.
BT yöneticilerinin uygulamanızı düşürmeden veya yeniden dağıtmadan kimlik bilgilerini döndürebilmesi için kimlik bilgilerini kodunuzdan uzak tutun. IAM'ye temsilci seçmek için Azure Key Vault veya Azure Yönetilen Kimlikler gibi bir hizmet kullanın.
En az ayrıcalık erişimi için planlama ve tasarım
Sıfır Güven'in temel ilkelerinden biri en az ayrıcalık erişimidir. Müşterilerinizin en az ayrıcalık ilkelerini başarıyla yapılandırabilmesi için uygulamanızı yeterince geliştirin ve belgeleyin. Belirteçleri ve API'leri desteklerken, müşterilerinize uygulamanızın çağırdığını kaynakların iyi belgelerini sağlayın.
Kullanıcınızın belirli görevleri gerçekleştirmesi için her zaman gereken en düşük ayrıcalığı sağlayın. Örneğin, Microsoft Graph'ta ayrıntılı kapsamlar kullanın.
Api çağırmak ve gerekli izinleri incelemek için Graph Explorer'daki kapsamları keşfedin. Bunlar en düşükten en yüksek ayrıcalıklara kadar sırayla görüntülenir. Mümkün olan en düşük ayrıcalığı seçmek, uygulamanızın saldırılara karşı daha az savunmasız olmasını sağlar.
Uygulama güvenlik açığını azaltmak ve güvenlik ihlali patlama yarıçapının tehlikeye atılması durumunda güvenlik açığını azaltmak için Güvenliği en az ayrıcalık ilkesiyle geliştirme bölümünde yer alan yönergeleri izleyin.
Belirteçleri güvenli bir şekilde yönetme
Uygulamanız Microsoft Entra ID'den belirteç istediğinde bunları güvenli bir şekilde yönetin:
- Bunların kapsamının uygulamanıza uygun şekilde tanımlandığını doğrulayın.
- Bunları uygun şekilde önbelleğe alın.
- Bunları istediğiniz gibi kullanın.
- Hata sınıflarını denetleyerek ve uygun yanıtları kodlayarak belirteç sorunlarını ele alın.
- Erişim belirteçlerini doğrudan okumak yerine kapsamlarını ve ayrıntılarını belirteç yanıtlarında görüntüleyin.
Sürekli Erişim Değerlendirme desteği (CAE)
Sürekli Erişim Değerlendirmesi (CAE), Microsoft Graph'ın güvenlik olaylarına yanıt olarak erişimi hızla reddetmesine olanak tanır. Örnek olarak şu kiracı yöneticisi etkinlikleri verilebilir:
- Kullanıcı hesabını silin veya devre dışı bırakın.
- Bir kullanıcı için çok faktörlü kimlik doğrulamasını (MFA) etkinleştirin.
- Kullanıcının verilen belirteçlerini açıkça iptal edin.
- Yüksek riskli duruma geçmekte olan bir kullanıcıyı algılama.
CAE desteklendiğinde, Microsoft Entra ID tarafından Microsoft Graph'ı çağırmak için verilen belirteçlerin geçerlilik süresi, standart 60 ila 90 dakika yerine 24 saat olur. CAE, MSAL'nin belirtecin süresi dolmadan önce belirteci önceden yenilemesini sağlayarak uygulamanıza dayanıklılık ekler.
BT için kullanıcılara ve gruplara atanacak uygulama rollerini tanımlama
Uygulama rolleri, uygulamalarınızda rol tabanlı erişim denetimi uygulamanıza yardımcı olur. Uygulama rollerine örnek olarak Yönetici, Okuyucu ve Katkıda Bulunan verilebilir. Rol tabanlı erişim denetimi, uygulamanızın tanımlı rollerine göre hassas eylemleri kullanıcılara veya gruplara kısıtlamasına olanak tanır.
Doğrulanmış yayımcı olma
Doğrulanmış bir yayımcı olarak, Microsoft İş Ortağı Ağı hesabınızla kimliğinizi doğrulayın ve yerleşik doğrulama işlemini tamamlayın. Çok kiracılı uygulama geliştiricileri için, doğrulanmış bir yayımcı olmak müşteri kiracılarındaki BT yöneticilerine güven oluşturmaya yardımcı olur.
Sonraki Adımlar
- Belirteçleri Özelleştirin, Microsoft Entra belirteçlerinde alabileceğiniz bilgileri tanımlar. En az ayrıcalıkla uygulama Sıfır Güven güvenliğini artırırken esnekliği ve denetimi geliştirmek için belirteçleri özelleştirmeyi öğrenin.
- Belirteçlerde grup taleplerini ve uygulama rollerini yapılandırma, uygulama rol tanımlarıyla uygulamalarınızı yapılandırmayı ve uygulama rollerine güvenlik grupları atamayı açıklar. Bu yaklaşım, en az ayrıcalıkla uygulama Sıfır Güven güvenliğini artırırken esnekliği ve denetimi geliştirir.
- Kimlik için Sıfır Güven bir yaklaşımla uygulama oluşturmak, izinlere ve erişime yönelik en iyi yöntemlere genel bir bakış sağlar.
- Kimlik tümleştirmeleri kılavuzu, Sıfır Güven çözümleri oluşturmak için güvenlik çözümlerini Microsoft ürünleriyle tümleştirmeyi açıklar.
- Uygulama kaydı, yetkilendirme ve erişim için geliştirici ve yönetici sorumlulukları, BT Uzmanlarınızla daha iyi işbirliği yapma konusunda size yardımcı olur.
- Tek ve çok kiracılı uygulamalar için desteklenen kimlik ve hesap türleri , uygulamanızın yalnızca Microsoft Entra ID) kiracınızdaki kullanıcılara, herhangi bir Microsoft Entra kiracısına veya kişisel Microsoft hesaplarına sahip kullanıcılara izin vermeyi nasıl seçebileceğinizi açıklar.
- Yetkilendirme en iyi yöntemleri , uygulamalarınız için en iyi yetkilendirme, izin ve onay modellerini uygulamanıza yardımcı olur.
- API Koruması, api'nizi kayıt, izin ve onay tanımlama ve Sıfır Güven hedeflerinize ulaşmak için erişimi zorlama yoluyla korumaya yönelik en iyi yöntemleri açıklar.